[해킹 정보전쟁]②사이버戰 대비냐, 民 과잉사찰이냐

by김현아 기자
2015.07.27 04:00:01

[이데일리 김현아 오희나 기자] 국가정보원이 이탈리아 보안업체 해킹팀으로부터 해킹프로그램을 구입한 사실이 드러나면서 진실공방이 한창이다.

여야는 27일 국회 정보위원회와 미래창조과학방송통신위원회 현안보고를 통해 국정원의 해킹 의혹에 대해 추궁할 방침이나, 현재까지 드러난 정황만으로는 국정원의 결백을 증명할 수도 민간인을 사찰한 범죄인으로 취급할 수도 없다는 게 전문가들 평가다.

국정원이 자살한 직원 임모씨가 삭제한 해킹 프로그램 관련 데이터를 복구했고, 새정치민주연합은 국민정보지키기위원회(위원장 안철수)를 출범시킨 뒤 국정원에 ‘무더기 자료 요청’을 했지만 자료 제출이 한 건도 없었던 데다 전문가가 뛰어들어도 로그파일 분석에 한 달 이상 걸리는 이유에서다.

다만, 전문가들은 정황 중에서 다음의 3가지에 주목해야 한다고 조언했다.

야당이 검찰 고발 방침을 밝힌 ‘SK텔레콤 인터넷 주소(IP) 5개’가 열쇠가 될 수 있다. 이 IP들은 이탈리아 해킹팀 유출 자료에서 스파이웨어 감염을 시도한 정황이 드러났는데, 통신사가 부여하는 IP 주소의 특성 때문에 관심이다.

개인용 기기인 스마트폰은 기기마다 할당된 IP가 있고, 해당 통신사 망을 타고 일반 공중 인터넷망을 이용한다. 개인식별이 가능한 ‘통신자료’인 것이다. SK텔레콤이 야당에 제출하려면 법원 영장이 있어야 한다.

국내 보안기업 중 유일하게 국민정보지키기위원회에 전문위원으로 참가하고 있는 권석철 큐브피아 대표는 “내국인인지, 간첩인지는 추가로 조사해야 하지만, 일단은 5개 모두 해킹에 성공한 것으로 판단한다. 해당 스마트폰 IP에서 접속한 로그 중에는 러시아와 중국어가 섞인 것도 있었지만 모두 한국어 사이트인 것도 발견됐다”고 말했다.

국정원이 구입한 RCS(원격제어시스템) ‘갈릴레오’는 취약점을 활용해 스마트폰에 악성코드를 심고 이후 해당 기기의 관리자 권한을 획득한 뒤 맘대로 조작할 수 있다. SBS 드라마 ‘냄새를 보는 소녀’에서 스파이웨어 어플을 몰래 심어 감청하는 것과 유사하다.

이후 해킹 된 스마트폰은 RCS에 접수돼 명령&제어 서버(C&C서버)에서 조작된다. 이용자 모르게 통화와 메신저 사용 내역, 이메일, 웹브라우저 접속 내역, 카메라 등 기기 안에서 작동하는 모든 것을 들여다 보면서 정보를 가져가는 것이다. 이 때 서버에 남는 게 로그파일이다. 그래서 야당은 국정원에 공격자(Exploit) 배포서버 정보 (IP 주소, 도메인 등)를 요구했다.

국민정보지키기위원회 위원인 성균관대 정태명 교수는 “RCS 로그파일, RCS가 만든 감청결과 파일 등에 대해 여야가 현장 조사를 하기로 했다”면서 “RCS 파일이 (진실을 밝히는데) 가장 중요하다”고 말했다.

안철수 위원장은 “국정원에 요청한 30개 자료 중 국가 안보와 밀접한 관계가 있는 것은 정보위를 통해 할 것”이라면서 “진상 규명은 신뢰받는 국정원이 되기 위해서라도 필요하다”고 했다.

지금까지 국정원은 브로커로 활동한 나나테크를 통해 해킹팀을 접촉했고, 나나테크는 해킹팀에 우리 고객은 ‘킨스텔(KINSTEL)’이라고 밝힌 것으로 나타났다. 또한 나나테크는 미래창조과학부에 감청설비 인가업체로 신고하지 않은 채 해당 프로그램의 수입을 알선한 것으로 확인됐다.

김승주 고려대 정보보호대학원 교수는 “나나테크에서 해킹팀에 보낸 이메일을 보면 ‘우리 고객은 킨스텔(KINSTEL)이다’라고 밝힌 대목이 있는데, 킨스텔은 국정원의 정식 조직이며 첩보조직이 아니라 연구개발을 전담하는 기관이다. 학계와도 특수과제를 가끔 한다”고 설명했다.

하지만 구매부서가 킨스텔(연구기관)이라 해도 구매 계약서상의 계약 조건 등을 확인하지 않으면 의혹은 여전하다.

김 교수는 “해당프로그램이 연구용이라는 국정원 설명은 이런 맥락에서 이해 간다”면서도 “라이센스가 몇 개인지, 라이센스 사용 가능 기간은 어떠한 지 등 실제 계약서를 확보해서 불법으로 프로그램을 연장하거나 계약 목적과 다르게 사용하지 않았는지 등을 확인해야 한다”고 밝혔다.